本地攻击者可以使用组策略漏洞来接管企业Windows系统

admin

本地攻击者可以使用组策略漏洞来接管企业Windows系统

Microsoft发行了一个补丁程序来修复一个漏洞，该漏洞可能允许受感染的非特权用户帐户在系统上放置恶意DLL。

Microsoft今天修复了从Windows和Office到Visual Studio，Azure DevOps和Microsoft Apps for Android的整个软件产品中的129个漏洞。这些缺陷中有11个是至关重要的，应立即进行修补，但是一个特定的漏洞很容易被忽略，并且可以允许具有本地访问权限的黑客完全控制企业Windows系统。

跟踪为CVE-2020-1317的问题影响集中管理Active Directory环境中Windows计算机和用户设置的最基本机制之一：组策略。更重要的是，该漏洞已经很久了，并且从Windows Server 2008开始在所有用于台式机和服务器的Windows版本中都存在。

“当组策略不正确地检查访问权限时，将存在特权提升漏洞。成功利用此漏洞的攻击者可以在提升的上下文中运行进程。要利用此漏洞，攻击者首先必须登录到系统，然后运行专门设计的应用程序来控制受影响的系统。”
除此以外，该公司的咨询没有其他信息，但是据发现该漏洞的Cyber​​Ark研究人员称，这是非常严重的。

攻击者如何利用组策略漏洞
组策略设置作为组策略对象（GPO）存储在Windows系统上，并且域管理员可以通过网络从域控制器分发它们。但是，默认情况下，组策略更新不是即时的，通常需要一段时间才能在网络上传播，这就是Windows包含一个名为GPUpdate.exe的工具的原因，用户可以运行该工具来向域控制器请求GPO更新，而不必等待它们。

安全性Cyber​​Ark安全研究人员在博客文章中说：“有趣的是，本地非特权用户可以手动请求组策略更新。” “因此，如果您设法在组策略更新过程中发现错误，则可以随时触发它，从而使潜在的攻击变得更加容易。”

组策略更新通过名为GPSVC的服务处理，该服务在svchost.exe进程下运行，该进程处理Windows中的许多服务。如预期的那样，此服务在NT AUTHORITY \ SYSTEM的上下文中以最高的特权运行。

可以将组策略更新链接到计算机，站点，域或组织单位，该服务会将它们保存为名为Applied-Object.xml的文件，然后将其重命名为策略适用的对象类型。例如，有关打印机的策略将转换为Printers \ Printers.xml。研究人员发现，链接到组织单位的GPO更新（针对该域中的所有用户和计算机）被保存在计算机上的％localappdata％目录下的某个位置中，任何本地用户都可以访问该目录。

此外，在执行此操作时，服务不会将其上下文和特权切换到请求更新的本地用户（在Windows API语言中称为用户模拟），而是使用LocalSystem特权执行文件写入操作。因此，此机制提供了这样一种情况：非特权用户可以使用GPUpdate.exe触发具有LocalSystem特权的文件写入操作到他们有权访问的目录中。

利用链的最后一步是让用户创建一个符号链接，该符号链接将要写入的目标文件位置（例如Printers.xml）链接到位于受保护的Windows目录（例如C：\）中的系统文件。 Windows \ System32 \，其中驻留了操作系统内核执行的许多文件。这意味着，当GPSVC尝试在用户可访问的位置写入Printers.xml文件时，实际上将被定向为在C：\ Windows \ System32 \中写入文件，因为它具有系统特权，因此可以这样做。

Cyber​​Ark研究人员将这些步骤描述如下：

列出您在C：\ Users \ user \ AppData \ Local \ Microsoft \ Group Policy \ History \中的组策略GUID。
如果您有多个GUID，请检查最近更新的目录。
进入该目录并进入子目录，即用户SID。
查看最新的修改目录。这将因您的环境而异。就我而言，它是打印机目录。
删除打印机目录内的文件Printers.xml。
创建指向\ RPC Control的NTFS挂载点+与Printers.xml的对象管理器符号链接，该链接指向C：\ Windows \ System32 \ whatever.dll。
打开您喜欢的终端并运行gpupdate。
非特权用户在受保护的OS目录中写入文件的能力之所以危险是因为它可以用于所谓的DLL劫持